Многие из неопытных пользователей часто сталкиваются с ситуацией, когда на мониторе компьютера появляется сообщение с требованием отправить СМС, чтобы получить доступ к сайту «ВКонтакте», «Одноклассникам» или «Моему миру». Все это последствия действия вируса или правильней будет сказать: вредоносного трояна. Все дело в том, что многие вредоносные программы модифицируют системный файл "host", который как раз отвечает за адресацию сайтов. Именно из-за модифицированного файла host вас перенаправляет на мошеннический сайт, где от вас требуют отправить СМС для разблокировки страницы в социальной сети. Признаки действия вирусовПервыми признаками изменения файла host являются: 1. Невозможность зайти на сайты социальных сетей, таких как ВКонтакте, Одноклассники и т.п.; 2. Для восстановления вашей страницы в социальных сетях от вас требуют отправить СМС для разблокировки; 3. Вместо привычного сайта, вы перенаправляетесь на совершенно иной ресурс, никак не связанный с тем, что вы ожидали увидеть; 4. Невозможность зайти на сайты антивирусных производителей. В любом случае, опытные пользователи сразу заметят подвох, но не все знают как следует себя вести в таких ситуациях. Об этом мы обязательно расскажем чуть ниже. Что нужно делать при блокировке сайтовВ первую очередь необходимо обновить свой антивирус и произвести полную проверку системы. Это поможет вам обнаружить и удалить вирус. Сейчас не будем говорить о том, как удалять вирусы, модифицирующие файл host, так как это тема отдельной статьи. Второе, что следует сделать – проверить расположение файла host. По умолчанию он располагается в папке «C:\Windows\System32\drivers\etc». Однако вредоносные программы изменяют расположение файла host для того, чтобы его трудней было обнаружить и исправить. Чтобы убедится в расположении файла host, запустите «Редактор реестра» от имени администратора, если у вас операционная система новее Windows XP. Для этого, в папке «C:\Windows» кликните по файлу «regedit.exe» правой кнопкой и выберите команду «Запуск от имени администратора». В Windows XP редактор реестра не обязательно запускать от имени администратора. В открывшемся редакторе реестра найдите следующую ветку реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters После этого, найдите ключ «DataBasePath», его значение должно быть следующим: «%SystemRoot%\System32\drivers\etc»: 
Если его значение отличается, измените его на значение по умолчанию «%SystemRoot%\System32\drivers\etc», естественно без кавычек. Этим самым мы сообщим системе, что файл host находится по пути «C:\Windows\System32\drivers\etc». Редактирование файла "host"Теперь, когда мы указали системе где нужно искать файл host, нужно отредактировать его соответствующим образом и удалить из него все лишнее. Запустите программу Блокнот от имени администратора, и в открывшейся программе выберите меню Файл – Открыть и перейдите в папку «C:\Windows\System32\drivers\etc». Тут следует обратить внимание на то, что сразу Блокнот «не увидит» файл host, так как этот файл не имеет расширения и система сообщит что «Нет элементов, удовлетворяющих условиям поиска». Чтобы диалоговое окно смогло найти файл host, в выпадающем списке типов файла смените «Текстовые файлы (*.txt)» на «Все файлы (*.*)»: 
Теперь файл host можно будет открыть. При штатной ситуации (до заражения компьютера вирусом), файл host содержит некоторую служебную информацию. Однако в нем не должно быть никаких упоминаний адресов сайта социальных сетей. Если в файле host содержатся адреса многих сайтов, то это однозначно можно расценивать как действия вредоносных программ. Взгляните на следующий рисунок: 
На первый взгляд в файле ничего лишнего нет, а только служебная информация, но если присмотреться внимательней, можно увидеть полосу прокрутки. Видите? Дело в том, что вредоносная программа модифицировала файл и в него было внесено много переносов строки. Поэтому, кажется что после строки «127.0.0.1 localhost» ничего нет, но на самом деле после множества переносов строки прописаны все интернет-адреса социальных сетей, которые переадресуются на подложные сайты. Удалите все содержание файла host, лучше даже нажать комбинацию клавиш Ctrl+A и нажать клавишу Delete. Теперь, когда содержимое файла очищено, напишите в нем только одну строку «127.0.0.1 localhost» (без кавычек) и сохраните изменения, нажав сочетание клавиш Ctrl+S. После этих манипуляций, перезагрузите компьютер и попытайтесь зайти на свою страницу в социальной сети. Если вы все сделали правильно, проблем возникнуть не должно. Последний штрихПосле того, как после перезагрузки компьютера вы успешно зашли на свою страницу – поменяйте все пароли. Дело в том, что когда вы безуспешно пытались ввести логин-пароль на поддельном сайте, все введенные вами пароли были сохранены в базе данных злоумышленника и впоследствии, могут быть использованы для рассылки спама. ВыводыТаким образом, мы восстановили доступ к интернет-сайтам и к странице в социальной сети. Модифицированный файл host позволял злоумышленникам перенаправлять нас на поддельный сайт, где предлагалось отправить СМС-сообщение для разблокировки доступа к странице. Отредактировав файл host и сменив все пароли, мы не оставили злоумышленнику никак шансов воспользоваться нашей страницей в социальной сети для рассылки рекламных сообщений. 2013-02-23 14:11 Понравился сайт? Расскажи о нем друзьям:
Comments to Notes: 0 |
Чтобы оставить комментарий, пожалуйста, заполните все поля.